Программный комплекс «С-Терра Клиент А ST. Версия 4.3» (далее ПК «С-Терра Клиент А», Продукт, С-Терра Клиент А) выполняет роль персонального экрана и VPN клиента.
Программный комплекс «С-Терра Клиент А ST. Версия 4.3» предназначен для защиты от несанкционированного доступа, сетевых атак, создания защищенных VPN соединений между устройством, на котором он установлен, и другими взаимодействующими с ним доверенными VPN-шлюзами и VPN-клиентами.
ПК «С-Терра Клиент А ST. Версия 4.3» выполняет следующие функции:
· защиту трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
· пакетную и контекстную фильтрацию любого исходящего и входящего трафика на хост с использованием информации в полях заголовков сетевого, транспортного и прикладного уровней;
· фильтрацию с учетом входного и выходного сетевого интерфейса;
· фильтрацию запросов на установление виртуальных соединений;
· фильтрацию по любым значимым полям IP-заголовка и полям данных сетевого пакета;
· фильтрацию с учетом даты и времени;
· аутентификацию пользователя и аутентификацию узла сети;
· идентификацию и аутентификацию администратора при доступе с целью администрирования;
· событийное протоколирование;
· реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
· регулируемую стойкость защиты трафика.
ПК «С-Терра Клиент А ST. Версия 4.3» осуществляет защиту трафика протоколов семейства TCP/IP в рамках международных стандартов IKE/IPsec:
· Security Architecture for the Internet Protocol – RFC2401.
· IP Authentication Header (AH) – RFC2402.
· IP Encapsulating Security Payload (ESP) – RFC2406.
· Internet Security Association and Key Management Protocol (ISAKMP) – RFC2408.
· The Internet Key Exchange (IKE) – RFC2409.
· The Internet IP Security Domain of Interpretation for ISAKMP (DOI) – RFC2407.
· Negotiation of NAT-Traversal in the IKE – RFC3947/
· UDP Encapsulation of IPsec ESP Packets – RFC3948.
Также используются национальные стандарты:
· ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования.
· ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
· ГОСТ Р 34.12–2015 Информационная технология. Криптографическая защита информации. Блочные шифры.
· ГОСТ Р 34.13–2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.
· Р 1323565.1.026–2019 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование.
· Р 1323565.1.024–2019 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов.
· Р 1323565.1.005-2017 Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13-2015.
· Р 50.1.110–2016 Информационная технология. Криптографическая защита информации. Контейнер хранения ключей.
· RFC 4357, глава 5.2, «VKO GOST R 34.10-2001» – Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms.
· RFC 4491 – Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure.
ПК «С-Терра Клиент А ST. Версия 4.3» использует встроенную криптографическую библиотеку, разработанную компанией «С-Терра СиЭсПи».
Криптографическая библиотека, разработанная компанией «С-Терра СиЭсПи», реализует российские криптографические алгоритмы:
· ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 – шифрование/расшифрование данных,
· ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 – имитозащита трафика,
· ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 – алгоритмы хэширования,
· ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 – формирование и проверка электронно-цифровой подписи (ЭЦП),
· VKO GOST R 34.10-2001 [RFC 4357], VKO GOST R 34.10-2012 (256 бит) – выработка общего сессионного ключа,
· а также генерацию случайных чисел.
Внимание! |
Рекомендуется отказаться от использования в политике безопасности устаревшего алгоритма ГОСТ 28147-89 и преобразований на основе ГОСТ 28147-89. Для перехода на работу с новыми криптографическими алгоритмами используйте инструкцию по ссылке. |
ПК «С-Терра Клиент А» работает не только с криптоалгоритмами ГОСТ, но и с международными алгоритмами.
Продукт «С-Терра Клиент А» (исполнение класса защиты КС1) обеспечивает защиту конфиденциальной информации от внешнего нарушителя.
Продукты «С-Терра Клиент А» (исполнение класса защиты КС2) и сертифицированное средство доверенной загрузки «Соболь» обеспечивают защиту конфиденциальной информации от внутреннего нарушителя.
Продукты «С-Терра Клиент А» в режиме КС3 под управлением ОС Astra Linux 1.6SE и сертифицированное средство доверенной загрузки обеспечивают защиту конфиденциальной информации от внутреннего нарушителя.
«С-Терра Клиент А» является Продуктом для корпоративного использования в том смысле, что политику безопасности и настройки режимов этого Продукта осуществляет администратор безопасности предприятия, но он может дать разрешение на дальнейшее управление Продуктом конечному пользователю.
Управление ПК «С-Терра Клиент А» осуществляется:
· централизованно-удаленно с использованием ПК «С-Терра КП. Версия 4.3» (ПК «С-Терра КП. Версия 4.3») для управления Продуктами компании «С-Терра СиЭсПи» и мониторинга;
· с использованием конфигурационного текстового файла, описывающего политику безопасности, и последующей ее загрузкой.
При осуществлении локального доступа к ПК «С-Терра Клиент А» поддерживаются две роли:
• Администратор МЭ - администратор межсетевого экрана, имеющий полномочия для конфигурирования и изменения настроек ПК (далее: “администратор”, “администратор безопасности”)
• Пользователь МЭ - пользователь межсетевого экрана, обладающий правами только на просмотр настроек МЭ (далее “пользователь”). При получении разрешения на управление, получает роль администратора с возможностью управления.
Основное управление настройками ПК «С-Терра Клиент А» осуществляется централизованно-удаленно с использованием ПК «С-Терра КП. Версия 4.3». С его помощью можно обновить сертификаты, ключи, политику безопасности, лицензии и др.
В ПК «С-Терра Клиент А» по умолчанию для всех интерфейсов задается одинаковая политика безопасности. Для задания разной политики безопасности на интерфейсах используйте структуру NetworkInterface конфигурационного файла с локальной политикой безопасности или ПК «С-Терра КП. Версия 4.3».